Embed Size (px)
Citation preview
GDPR & CLOUD
Mgr. Jana Pattynová, LL.M.
31.8.2017
GDPR A CLOUD
GDPR a cloudové služby
GDPR – proč, co a jak implementovat
Cloud jako nástroj souladu s GDPR
Požadavky GDPR na poskytovatele cloudu
ÚVOD K GDPR
Výzva 2: jak kalkulovat rizika?
▪ Předvídatelnost sankcí
➢ Předpoklad předchozí žádosti o nápravu
➢ Předpoklad stávající praxe Úřadu přenesené na novou škálu sankcí
➢ Rozdílné sankce v jednotlivých zemích (i pro nadnárodní korporace?)
➢ Evropská či národní metodika pro ukládáni sankcí
➢ Standard pro nedbalost v oblasti kybernetické bezpečnosti („state of the art“)?
➢ Analogie soutěžně-právních sankcí?
▪ Residuální rizika dle DPIA
➢ Pokud materializují, nemělo by být sankcionováno?
PRÁVNÍ TITULY
ÚVOD DO GDPR
GDPR – Obecný přehled
Nařízení EU – přímo aplikovatelné
Vstoupí v účinnost 25. května 2018
Nový způsob vynucení soukromí a kybernetické bezpečnosti
ÚVOD DO GDPR
PRÁVO EU GDPR ePrivacy NIS Vertikální
regulace
ČESKÉ PRÁVOImplementační
zákon o ochraně
osobních údajů
X
Novela zákona
o kybernetické
bezpečnosti
Vertikální
regulace
Finanční instituce ✓ ✓ ✓ ✓
Telekomunikační operátoři ✓ ✓ ✓ ✓
Poskytovatelé zdr. služeb ✓ ✓ ✓ ✓
Veřejný sektor ✓ ✓ ✓ ✓
Energetika ✓ ✓ ✓ X
Poskytovatelé cloudu ✓ ✓ ✓ X
Poskytovatelé služeb ✓ ✓ X X
Výrobní společnosti ✓ ✓ X X
Maloobchodní řetězce ✓ ✓ X X
GDPR v kontextu širší právní úpravy dat
ÚVOD DO GDPR
České právo a GDPR
Návrh zákona o zpracování osobních
údajů
• Nahrazuje stávající zákon o ochraně osobních údajů
• Souhlas nezletilých do 13 let
• Sankce pro subjekty veřejné správy do 10.000.000 Kč
• Definice subjektu veřejné správy
Návrh „implementačního“
zákona
• Dopad GDPR na výkon některých pravomocí veřejné správy
• GDPR a zákon o svobodném přístupu k informacím
Dozorový orgán a sankce
ÚVOD DO GDPR
GDPR
Zákon o
kybernetické
bezpečnosti
NIS
Novela zákona o kyber.
bezpečnosti
Dozorový
úřad
Vnitrostátní dozorový úřad
(ÚOOÚ)
Vedoucí dozorový úřad
Evropský sbor pro ochranu
osobních údajů (EDPB)
Národní
bezpečnostní úřad
(NBÚ)
Národní CERT
Národní bezpečnostní úřad
(NBÚ)
Národní úřad kybernetické
bezpečnosti (NÚKIB)
Národní CERT
Maximální
výše pokut
20.000.000 Eur nebo až 4
% celkového světového
ročního obratu
100.000 Kč 5 mil. Kč
Účinnost 25. května 2018 1. ledna 2015 do května 2018
Trestněprávní odpovědnost
Neoprávněné nakládání s osobními údaji
(nedbalost, sazba až 3 roky / 8 let u kvalif. skutkové podstaty)
Porušení tajemství dopravovaných zpráv
(sazba až 2 roky / 5 let u kvalif. skutkové podstaty)
Porušení tajemství listin a jiných dokumentů
uchovávaných v soukromí
(sazba až 8 let)
Nebezpečné pronásledování
(sazba až 3 roky)
ÚVOD DO GDPR
Trestní odpovědnost právnických osob
- Trestný čin spáchaný statutárním orgánem, zaměstnancem
- Tresty: peněžité tresty až 1,46 mld. Kč, zrušení PO
Co je regulováno jako osobní údaje?
ÚVOD DO GDPR
Zřejmé: jméno, číslo dokladu totožností, kreditní karta,
kontaktní údaje, informace o zdraví, lokalizační údaje, IP
adresa, atd.
Ale také: jakékoli informace o nákupech, užívaných
službách či vlastněných zařízeních, (meta) data týkající se předchozího
chování při užívání služby, fotografie
údaje identifikující fyzickou osobu
Co je regulováno jako osobní údaje
ÚVOD DO GDPR
Identifikátory vs. osobní
údaje
SPZ
IP adresy
Výrobní čísla
Jedinečné identifikátory zařízení: ID, MAC adresa
apod.
Turnover based sanctions under GDPR
ÚVOD DO GDPR
Údaje, které o sobě osoba poskytne
Údaje o chování osoby (např. při využívání služeb)
Údaje vzniklé činností správce
Metadata k osobním údajům
Co je regulováno jako osobní údaje
NOVINKY V GDPR
Změny v produktech a službách
Posílení práv
subjektů údajů
Širší informační povinnosti
„Privacy by design“ a „privacy by
default“
Jednoznačný souhlas k
jakémukoli zpracování údajů
Ochrana nezletilých
Souhlas i k historickým datům
Přenositelnost údajů
Odvolání souhlasu a právo být zapomenut
NOVINKY V GDPR
Interní změny
Záznamy o činnostech zpracování
(místo registrace)
Vlastní vyhodnocení dopadů zpracování na ochranu údajů
Notifikace neoprávněného
přístupu k osobním údajům
Pověřenec pro ochranu osobních
údajů
Vznik Evropského sboru pro ochranu
osobních údajů
Hlavní dozorový orgán jako jedno
správní místoPseudonymizace
Specifická pravidla pro zpracovatele
NOVINKY V GDPR
Životní cyklus údajů
NOVINKY V GDPR
Požádat Vytvořit Aktualizovat Odstranit Archivovat
Bez souhlasu nebo jiného titulu a splnění informační povinnosti technická nemožnost postoupit k dalšímu kroku
Spojit údaje sesubjektem, účelem, časovým rámcem, nastaveno dle testu přiměřenosti (privacy by design)
Implementace námitek vůči zpracování, zpřístupnění údajů subjektu údajů a žádost o opravu
• po vypršení časového rámce
• na žádost subjektu, u údajů získaných na základě souhlasu, pokud není oprávněný zájem si ponechat
Ponechat si nezbytné údaje k doložení souladu s GDPR?
▪ Informace, které nesouvisejí s identifikovanou nebo identifikovatelnou osobou, nebo osobní údaje poskytnuté anonymně takovým způsobem, že subjekt údajů již není identifikovatelný
Anonymizované údaje
(nevratně oddělené od osoby)
▪ Nemohou být přičitatelné konkrétní osobě bez použití dodatečných informací
▪ Dodatečné informace jsou uchovávány odděleně
▪ Technická a organizační opatření zajišťují, že osoba nebude identifikována
▪ Pouze správce může určit identifikaci
Pseudonymizované údaje
(dočasně oddělené od osoby)
Anonymizované a pseudonymizované údaje
NOVINKY V GDPR
Výhody pseudonymizovaných údajů
Mohou být zpracovány nad rámec původně
definovaného účelu
Pseudonymizace splňuje požadavek „privacy by
design“
Pseudonymizace jako bezpečnostní opatření
Výjimky z notifikace, dalších povinností
PSEUDONYMIZACE A ANONYMIZACE
DPO - pověřenec ochrany osobních údajů
NOVINKY V GDPR
Povinný pro správce i
zpracovatele v případech:
Dle subjektu
Orgán veřejné moci či veřejný subjekt (s výjimkou soudů)
Dle typu zpracování:
operace zpracování, které kvůli své povaze, rozsahu
nebo svým účelům vyžadují rozsáhlé pravidelné a
systematické monitorování subjektů údajů
Skupina podniků může
jmenovat 1 pověřence, je-li
snadno dosažitelný
Zaměstnanec/externí
poskytovatel – smlouva o
poskytování služeb (role,
nezávislost, zdroje, ochrana)
Odbornost, jmenování,
přezkušování, evidence?
Orgán veřejné moci: rovněž
může jmenovat jen 1
pověřence pro několik
orgánu/subjektů
JAK PŘISTOUPIT K IMPLEMENTACI GDPR?
Turnover based sanctions under GDPR
IMPLEMENTACE GDPR
Rozdílová analýza
Implementace požadavků
Posouzení vlivu na ochranu osobních údajů (DPIA)
Zajištění udržitelnost v čase
Fáze implementace GDPR
Turnover based sanctions under GDPR
Data is at the heart of digital transformation
IMPLEMENTACE GDPR
Co jsou scénáře zpracování?
Činnosti, při nichž dochází ke zpracování údajů
Příklady scénářů zpracování:
HR/personální údaje
Marketing
Produkty/zákaznické vztahy
Interní/externí komunikace
Dodavatelské vztahy
Procesování plateb
Granularita scénářů zpracování
IMPLEMENTACE GDPR
HR agenda
Výplata mezd
Nábor nových zaměstnanců
Uzavírání a životní cyklus pracovních
smluv
Docházka
Povinné odvody
Procesování plateb
Turnover based sanctions under GDPR
Data is at the heart of digital transformation
IMPLEMENTACE GDPR
Průběh rozdílové analýzy
Definice relevantních scénářů zpracování pro danou společnost
Mapování skutečného nakládání s údaji v rámci scénáře
Identifikace rozdílů skutečného a požadovaného stavu
Turnover based sanctions under GDPR
Data is at the heart of digital transformation
IMPLEMENTACE GDPR
Implementace výsledků rozdílové analýzy
Quick wins
Prioritizovanéprojekty
(náklady vs. pokrytá rizika)
Residuální rizika
Turnover based sanctions under GDPR
IMPLEMENTACE GDPR
Rozdílová analýza
Implementace požadavků
DPIA
Harmonogram implementace GDPR (1 právnická osoba)
2 – 4 měsíce
3 měsíce na dokumentaci
2 měsíce
Paralelní
postup
5 – 7 měsíců
Turnover based sanctions under GDPR
Data is at the heart of digital transformation
IMPLEMENTACE GDPR
Projektové výzvy a rizika
Multidisciplinární projekt
Interní kapacita klientů
Vytváření nových databází
Velké množství stakeholderů
Zásahy do architektury stávající
infrastruktury
Distribuovaná odpovědnost
Podcenění časové náročnosti
implementační fáze
Dopady do produktů
DPIA A UDRŽITELNOST V ČASE
ROZDÍLOVÁ ANALÝZA vs DPIA
DPIA
Rozdílová analýza
Předběžné hodnocení DPIA
Uvede produkty,
procesy a datové toky
do souladu s GDPR,
upraví dokumentaci,
doplní chybějící instituty
Posoudí, zda je
vysoká
pravděpodobnost
rizika zpracování
pro práva a svobody
fyzických osob
Vyhodnocení rizik zpracování
pro práva a svobody subjektů
údajů a stanovení opatření
záruk a mechanismů pro
eliminaci rizika
Aktualizace DPIA
▪ Přezkum DPIA při změně rizika, jež představují konkrétní operace
▪ WP 29: Posouzení by se mělo provádět pravidelně každé tři roky
Proces testování zabezpečení
DPIA
Udržitelnost v čase
Zavést proces
pravidelného testování,
posuzování a hodnocení
účinnosti zavedených
technických a
organizačních opatření pro
zajištění bezpečnosti
zpracování.
CLOUD JAKO NÁSTROJ SOULADU S GDPR
GDPR požadavky dopadají na produkty, procesy a informační systémy
Turnover based sanctions under GDPR
Data is at the heart of digital transformation
Osobní údaje
Přidaná hodnota cloudových služeb
1.
2.
3.
4.
5.
Nástroje pro zajištění souladu s GDPR na úrovni procesů (čl. 6, 7, 8, 12, 13, 16 - 21)
One-stop-shop pro požadavky na dodavatele (čl. 28)
Zajištění udržitelnosti v čase (čl. 32 odst. 1 písm. d)
Zajištění souladu s GDPR na úrovni infrastruktury (čl. 32 odst. 1)
Konsolidace informačních systémů
Externí dataInterní data
Ob
cho
dn
í par
tneř
i, d
od
avat
elé
CLOUD
Může cloudová služba vyřešit GDPR?
GDPR JAKO PŘÍLEŽITOST PRO CLOUD
Možnosti zajistit soulad s GDPR záleží na typu coudu
On-Premises
Aplikace
Data
Runtime
Middleware
O/S
Virtualizace
Servery
Úložiště
Práce v síti
Infrastruktura
(jako služba)
Aplikace
Data
Runtime
Middleware
O/S
Virtualizace
Servery
Úložiště
Práce v síti
Platforma
(jako služba)
Aplikace
Data
Runtime
Middleware
O/S
Virtualizace
Servery
Úložiště
Práce v síti
Software
(jako služba)
Aplikace
Data
Runtime
Middleware
O/S
Virtualizace
Servery
Úložiště
Práce v síti
Klie
nt
Klie
nt
Klie
nt
Po
skytovatel C
lou
du
Po
skytovatel C
lou
du
Po
skytovatel C
lou
du
Sou
ladp
rocesů
s GD
PR
Sou
lad in
frastruktu
ry s GD
PR
POŽADAVKY GDPR CLOUD
Turnover based sanctions under GDPR
Data is at the heart of digital transformation
GDPR POŽADAVKY NA CLOUD
Tři typy požadavků
Požadavky na smlouvu
Požadavky na infrastrukturu
Požadavky na předávání dat do zahraničí
Požadavky na smlouvu
Vymezení
zpracovávaných
údajů
Vymezení účelu zpracování
Vymezení doby zpracování
Transparentnostsubdodavatelů
Dostatečné záruky zabezpečení
Závazky součinnosti
Požadavky na vrácení dat při
ukončení služby
Závazek umožnit audit
Hlášení incidentů
GDPR POŽADAVKY NA CLOUD
Požadavky na infrastrukturu
GDPR POŽADAVKY NA CLOUD
•Důvěrnost, integrita, dostupnost a odolnost systémůZabezpečení
•Schopnost obnovit dostupnost a přístup v případě incidentůResilience
•Pravidelné testování a hodnocení účinnosti technických opatřeníTestování
•Certifikace (i.e ISO/EIC 27001, 27017, 27018, SOC, CSA STAR)
•DPIA
•Zpřístupnění zpráv z auditů třetích osob
Doložení souladu
Rozhodnutí Komise (adequacy decision)
Závazná podniková pravidla (BCR)
Rozhodnutí Komise o standardních
smluvních doložkách
Regulovaný smluvní obsah s ohledem na
údaje, které mohou být předávány mimo státy
EHP
Jednotlivě udělený souhlas
Privacy Shield
Úmluva 108EU + Uruguay,
Maroko,… (http://goo.gl/Pqqir1)
Kanada, Švýcarsko, Izrael, … (https://goo.gl/Bqm4FS)
GDPR POŽADAVKY NA CLOUD
Požadavky na předávání do zahraničí
Předávání do USA, na základě self-certifikace
Turnover based sanctions under GDPR
TAKEAWAY POINTS
Takeaway points
?
Poskytovatelé cloudu mohou významně pomoci se zajištěním
souladu GDPR
PAAS a SAAS řešení mohou poskytnout nástroje pro soulad
procesů
Cloudové řešení musí splňovat požadavky na smlouvy, na
zabezpečení a na předávání údajů do zahraničí
Cloudové řešení může pokrýt požadavky na infrastrukturu
pro relevantní scénář zpracování
?▪
Jana Pattynová[email protected]
+420 777 738 040
Spolu s kancelářemi v Londýně, Bruselu a Moskvě jeden z největších specializovaných právních týmů zaměřených
na právo technologií, médií a komunikací
Hlavní oblasti praxe:
• Ochrana osobních údajů
• IT smlouvy, včetně smluv na cloudové produkty
• IoT
• M&A transakce v technologickém sektoru
• Podpora start-upů při vstupu na zahraniční trhy
• Pracovní právo (včetně technologických aspektů smluv zaměstnanců, BYOD)
• IP právo
• Média
• Telekomunikační právo
Lenka Suchánková[email protected]
+420 777 738 046
Více informací: www.pierstone.com
12 let nejvyšší nezávislá
hodnocení pro oblast technologie
Partneři odpovědní za GDPR projekty:
